Sie müssen das Schlüssel-Zertifikat-Paar zur Verwaltung der VMware Cloud Director-Appliance unter Umständen aus Sicherheitsgründen, wegen des Ablaufs von Zertifikaten, wegen Upgrades oder Änderungen an der Appliance oder zur Einhaltung von Compliance-Anforderungen ersetzen.

Prozedur

  1. Melden Sie sich direkt oder mithilfe von SSH beim Betriebssystem der VMware Cloud Director-Appliance als root an.
  2. Erstellen Sie eine Sicherungskopie der ursprünglichen Datei namens vcd_ova.crt.
    cp /opt/vmware/appliance/etc/ssl/vcd_ova.crt /opt/vmware/appliance/etc/ssl/vcd_ova.crt.original
    cp /opt/vmware/appliance/etc/ssl/vcd_ova.key /opt/vmware/appliance/etc/ssl/vcd_ova.key.original
  3. Erzeugen Sie selbstsignierte Zertifikate nur für die eingebettete PostgreSQL-Datenbank und die Appliance-Verwaltungsbenutzeroberfläche von VMware Cloud Director.
    /opt/vmware/appliance/bin/generate-certificates.sh <root-password> --skip-vcd-certs
    Der Befehl bewirkt, dass die neu erzeugten Zertifikate für die eingebettete PostgreSQL-Datenbank und die Verwaltungsbenutzeroberfläche der Appliance verwendet werden. Der PostgreSQL- und der Nginx-Server werden neu gestartet.
  4. Wenn Sie von einer Zertifizierungsstelle signierte Zertifikate verwenden, rufen Sie die von der Zertifizierungsstelle signierten Zertifikate ab, kopieren Sie sie und starten Sie die Dienste neu.
    1. Erstellen Sie eine Zertifikatsignieranforderung in der Datei vcd_ova.csr.
      openssl req -new -key /opt/vmware/appliance/etc/ssl/vcd_ova.key -reqexts SAN -config <(cat /etc/ssl/openssl.cnf <(printf "\n[SAN]\nsubjectAltName=DNS:vcd2.example.com,DNS:vcd2,IP:10.100.101.10\n")) -out vcd_ova.csr
    2. Senden Sie die Zertifikatsignieranforderung an die Zertifizierungsstelle.
      Wenn Sie einen Webservertyp angeben müssen, verwenden Sie Jakarta Tomcat.
      Sie erhalten das von der Zertifizierungsstelle signierte Zertifikat.
    3. Kopieren Sie das von der Zertifizierungsstelle signierte Zertifikat.
      cp ca-signed-vcd_ova.pem /opt/vmware/appliance/etc/ssl/vcd_ova.crt
    4. Starten Sie die nginx- und postgres-Dienste neu.
      systemctl restart nginx.service
      systemctl restart vpostgres.service